Google Rilis Kerangka Baru untuk Mencegah Serangan Rantai Pasokan Perangkat Lunak

  • Whatsapp
Serangan Rantai Pasokan Perangkat Lunak

Ketika serangan rantai pasokan perangkat lunak muncul sebagai titik perhatian setelah insiden keamanan SolarWinds dan Codecov, Google mengusulkan solusi untuk memastikan integritas paket perangkat lunak dan mencegah modifikasi yang tidak sah.

Dipanggil “Tingkat rantai pasokan untuk Artefak Perangkat Lunak” (SLSA, dan diucapkan “salsa”), kerangka kerja ujung-ke-ujung bertujuan untuk mengamankan pengembangan perangkat lunak dan jalur penyebaran — yaitu, alur kerja sumber build publikasikan — dan mengurangi ancaman yang muncul karena merusak kode sumber , platform build, dan repositori artefak di setiap tautan dalam rantai.

Bacaan Lainnya

Tim Stack Overflow

Google mengatakan SLSA terinspirasi oleh pemeriksaan penegakan internal perusahaan yang disebut Otorisasi Biner untuk Borg, seperangkat alat audit yang memverifikasi asal kode dan mengimplementasikan identitas kode untuk memastikan bahwa perangkat lunak produksi yang digunakan ditinjau dan disahkan dengan benar.

“Dalam kondisinya saat ini, SLSA adalah seperangkat pedoman keamanan yang dapat diadopsi secara bertahap yang ditetapkan oleh konsensus industri,” berkata Kim Lewandowski dari Tim Keamanan Sumber Terbuka Google dan Mark Lodato dari Otorisasi Biner untuk Tim Borg.

dependensi kode

“Dalam bentuk akhirnya, SLSA akan berbeda dari daftar praktik terbaik dalam penerapannya: SLSA akan mendukung pembuatan otomatis metadata yang dapat diaudit yang dapat dimasukkan ke dalam mesin kebijakan untuk memberikan “sertifikasi SLSA” ke paket atau platform pembangunan tertentu.”

Kerangka kerja SLSA menjanjikan integritas rantai pasokan perangkat lunak ujung ke ujung dan dirancang untuk menjadi tambahan dan dapat ditindaklanjuti. Ini terdiri dari empat tingkat yang berbeda kecanggihan keamanan perangkat lunak progresif, dengan SLSA 4 menawarkan tingkat kepercayaan yang tinggi bahwa perangkat lunak tersebut tidak diutak-atik dengan benar.

  • SLSA 1 — Mengharuskan proses pembuatan sepenuhnya skrip/otomatis dan menghasilkan asalnya
  • SLSA 2 — Memerlukan penggunaan kontrol versi dan layanan build yang dihosting yang menghasilkan asal yang diautentikasi
  • SLSA 3 — Mengharuskan sumber dan membangun platform memenuhi standar khusus untuk menjamin kemampuan audit sumber dan integritas asalnya
  • SLSA 4 — Memerlukan tinjauan dua orang tentang semua perubahan dan proses pembuatan yang kedap dan dapat direproduksi

“Tingkat SLSA yang lebih tinggi memerlukan kontrol keamanan yang lebih kuat untuk platform build, sehingga lebih sulit untuk dikompromikan dan mendapatkan ketekunan,” kata Lewandowski dan Lodato.

Manajemen Kata Sandi Perusahaan

Sementara SLA 4 mewakili keadaan akhir yang ideal, tingkat yang lebih rendah memberikan jaminan integritas tambahan, pada saat yang sama mempersulit aktor jahat untuk tetap bersembunyi di lingkungan pengembang yang dilanggar untuk waktu yang lama.

Bersamaan dengan pengumuman tersebut, Google telah membagikan detail tambahan tentang Sumber dan Membangun persyaratan yang harus dipenuhi, dan juga meminta industri untuk menstandarisasi sistem dan menentukan model ancaman yang merinci ancaman spesifik yang diharapkan SLSA untuk diatasi dalam jangka panjang.

“Mencapai tingkat SLSA tertinggi untuk sebagian besar proyek mungkin sulit, tetapi peningkatan bertahap yang diakui oleh tingkat SLSA yang lebih rendah akan sangat membantu meningkatkan keamanan ekosistem sumber terbuka,” kata perusahaan itu.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *